I8 S7 g0 C4 d% g# `# z V复杂性:高(仅适用于资源丰富的群体,通常在不会起诉的国家/地区)。& R0 k% Z: r! H. v1 C! e' E& a; y
7 P1 |) p" B1 n+ Y可自动化性:低(仍然主要是使用一些自定义工具进行手动操作) ; @3 t0 ]1 c, L/ I0 h , T+ w$ r- _) S7 G. Y T" x5 ^对未来的期望:只要 APT 能够将其活动货币化或实现各种ZZ目的,它们就会保持活跃。 * t/ B, L1 Y8 ~ " I7 R a0 \: H8 y( j3 j以用户为目标的网络钓鱼:社会工程师 3 z) b- I; {( V& Z4 y: r7 E" G1 f$ e4 |4 c* U
网络钓鱼是一个众所周知的普遍问题。网络钓鱼者试图通过各种渠道发送诱饵消息来诱捕他们的猎物,这些渠道包括即时通讯、电子邮件、Twitter、电报、Discord 和被黑网站。如果您浏览垃圾邮件邮箱,您可能会看到数百次企图诱使您泄露密码等信息或窃取您的钱财。 3 W; F7 {, D, u
. p: o! Y1 }# ], u9 @1 c) s
现在 web3 允许人们直接交易资产,例如代币或NFT,几乎可以立即确定,网络钓鱼活动正在针对其用户。这些攻击是知识或技术专长很少的人通过窃取加密货币来赚钱的最简单方法。即便如此,对于有组织的团体来说,它们仍然是一种有价值的方法来追踪高价值目标,或者对于高级团体来说,通过例如网站接管来发动广泛的、耗尽钱包的攻击。 2 |" n7 P% Y( k2 E- q$ J! {8 d
0 Q! ]: r- C; I" I
举例: 1 g) {! N8 N, c7 l- j8 q* @- s1 Q5 r) F6 ]; W
直接针对用户的OpenSea% V) u0 f6 Z6 ?& m6 D
3 P6 S7 l0 T; a9 @" C4 c7 u& u
网络钓鱼活动 3 z$ P9 F2 _+ p! W7 J2 X 3 V; d2 P1 F) c最终包含应用程序的BadgerDAO网络钓鱼攻击 6 B" R3 r2 y' P4 a- {1 W. E' ^+ Z
简要概括: & ^: S( o8 V/ z/ X4 @: Y' F4 r3 B0 t- s# V4 ?5 R
谁:从脚本小子(script kiddie,以黑客自居的初学者)到有组织的团体的任何人。 ; l' F' `, T; Q4 F: `6 i- k$ Q, h1 `! V$ y ~
复杂性:低-中(攻击可以是低质量的“喷雾式”或超针对性的,具体取决于攻击者付出的努力)。 5 k$ c8 J V' m+ [( } " z w5 D8 g$ t# k1 o9 l可自动化性:中等-高(大部分工作可以自动化)。4 D! x$ G6 Y* x6 n7 v+ ?
8 d4 X1 g. B5 n2 f! [ \- H对未来的期望:网络钓鱼的成本很低,网络钓鱼者往往会适应并绕过最新的防御措施,因此我们预计这些攻击的发生率会上升。可以通过提高教育和意识、更好的过滤、改进的警告横幅和更强大的钱包控制来改进用户防御。! `7 H& d% w" L m1 x: M8 Q
- L5 W1 e: _3 c: q7 F3 n
供应链漏洞:最薄弱的环节% c$ m7 Y/ w7 l: o- I, J
, S x6 T( a7 a* F/ }! d当汽车制造商发现车辆中的缺陷部件时,他们会发出安全召回;在软件供应链中也不例外。9 r/ i" u, v- `1 A8 o$ T
* q6 c4 l B k' [ j+ y
第三方软件库引入了很大的攻击面。在 web3 之前,这一直是跨系统的安全挑战,例如去年 12 月影响广泛的 Web 服务器软件的log4j 漏洞利用。攻击者将扫描互联网以查找已知漏洞,以找到他们可以利用的未修补漏洞。 # C+ {( A; G% k" B$ H5 t2 L8 c$ ?1 g2 S1 f8 i4 C/ Y! A
导入的代码可能不是项目方自己的技术团队编写的,但其维护至关重要。团队必须监控其软件组件的漏洞,确保部署更新,并及时了解他们所依赖的项目的发展势头和健康状况。web3 软件漏洞利用的真实和即时成本使得负责任地将这些问题传达给图书馆用户具有挑战性。关于团队如何或在何处以一种不会意外使用户资金面临风险的方式相互交流这些信息的结论仍未确定。 : j& C8 f8 f8 U5 w. a' R2 r( l' L 7 P3 z6 ]) a4 F# ? E, F3 v举例:7 a H" \, G- N H& Q( H U; v8 Z5 t0 C
" ?, f! ~5 g4 x0 p! k跨链桥项目Wormhole被盗5 P h( B- d* j1 W/ b
) b# T2 t4 _4 ~4 | zMultichain 合约漏洞攻击: W" m% }5 @9 ?0 }- g- H3 b
& v$ m. n# `' m+ L. u' y# I% v1 _
简要概括:+ C; G% ^7 d% [8 W
# c) ^- Y0 P0 @谁:有组织的团体,例如 APT、个人和内部人士。 - C' \2 y0 q, U. L: {8 h 4 j) X: N" ?: f复杂性:中等(需要技术知识和一些时间)。 0 s; j- V: u7 B0 M" ]! ?6 i- b0 d6 w/ @( C
可自动化性:中等(扫描以发现有缺陷的软件组件可以自动化;但是当发现新漏洞时,需要手动构建漏洞利用)。 * B% e1 |! A7 n, s, m6 z * X5 ]) A% \! `/ [. H对未来的期望:随着软件系统的相互依赖和复杂性的增加,供应链漏洞可能会增加。在为 web3 安全开发出良好的、标准化的漏洞披露方法之前,机会主义的黑客攻击也可能会增加。8 |) p6 P; B; ~3 I' b, @
2 \! R( n7 ~- L) t# g
治理攻击:选举窃取者, J" y4 B. f$ G
8 n- s, W3 J% S这是第一个上榜的特定于加密货币的问题。web3 中的许多项目都包含治理方面,代币持有者可以在其中提出改变网络的提案并对其进行投票。虽然这为持续发展和改进提供了机会,但它也为引入恶意提案打开了后门,如果实施这些提案可能会破坏网络。 , l7 A5 r8 o/ D' ~. U ' s5 t- W+ Q t* X& y攻击者设计了新的方法来规避控制、征用领导权和掠夺国库。曾经是一个理论上的问题,现在已经证明了治理攻击。攻击者可以拿出大量的“闪电贷”来摇摆选票,就像最近发生在去中心化金融项目 Beanstalk 上一样。导致提案自动执行的治理投票更容易被攻击者利用;然而,如果提案的制定存在时间延迟或需要多方手动签署(例如,通过多重签名钱包),则可能更难实现。( V0 j3 S n- y5 G
5 Q' g8 {" p3 m- X举例:算法稳定币Beanstalk Farms遭遇黑客攻击事件' h8 _# u) _3 y% ]
: t6 G* L; y/ m5 T
简要概括: 4 b/ S5 e3 e. c/ f* u # q6 T* k4 o3 v5 @6 g1 O谁:从有组织的团体 (APT) 到任何人。7 v# G( g4 Y6 [+ w; D
9 }* ~3 ]' C2 P K& Y$ H
复杂性:从低到高,取决于协议。(许多项目都有活跃的论坛、Twitter 和 Discord 上的社区,以及可以轻松暴露更多业余尝试的委派仪表板。)$ _: U C* d! x' ~& j7 j, c( H! I